感染経路と拡散手法
ランサムウェアは、重要なコンピュータ?ファイルや机密データを暗号化して身代金を得るために使用されるマルウェアの一种です。ランサムウェアのマルウェアが组织のネットワーク上のデバイスにダウンロードされ、インストールされると、感染が発生します。
ランサムウェアは、さまざまな方法でターゲット?システムにアクセスできます。2023 年には、技術の進歩が急増しました。人工知能とランサムウェア?アズ?ア?サービス?プラットフォームは、ハッカーによるランサムウェア攻撃の実行能力を合理化しました。ソーシャル?エンジニアリング、国家支援、インサイダー攻撃が増加していますが、システムの衛生状態やフィッシング?メールが依然として最も一般的な攻撃ベクトルです。
フィッシング?メールには、通常、侵害された Web サイトへのリンクや、マルウェアが埋め込まれた添付ファイルが含まれています。ユーザーがリンクや添付ファイルをクリックすると、マルウェアがダウンロードされ、コンピュータ?システムで実行されます。
リモート?デスクトップ?プロトコル(RDP)は、ランサムウェアの一般的な攻撃経路の 1 つです。RDP は容易に使用でき、正規の認証情報にアクセスできれば、攻撃者に高レベルのアクセスを与えることができるからです。攻撃者は、ブルートフォース攻撃、クレデンシャル?スタッフィング、ダークウェブでの購入など、を使用できます。
ダークウェブで購入した RDP アクセスの侵害は、デフォルトのポートをスキャンするスクリプトを作成するだけで RDP 接続を悪用できます。多くの場合、ハッカーはセキュリティの専門家と同じツールにアクセスでき、1 分以内にインターネット全体のオープンポートをスキャンできます。
このオンデマンドの Web セミナーでは、元ハッカーの Hector“Sabu”Monsegur 氏が、現在のサイバーセキュリティの状況と課題について、ピュア?ストレージの Andrew Miller と議論します。
暗号化
ランサムウェアがターゲット?システムにインストールされると、待机状态になり、静かにデータを収集し、できるだけ多くのシステムに感染します。その后、会社の最も価値が高く机密性の高いデータを使用して、システム?ファイルを盗んだり暗号化したりします。ランサムウェアは多くの场合、攻撃の一环としてバックアップを破壊したり、データを盗んだりすることがあるため、バックアップが安全で不変であることが重要となります。
ランサムウェアの种类と亜种について详しく见ていきましょう。
暗号ランサムウェアはファイルを暗号化し、コンテンツをスクランブルして読み取り不能にします。ファイルを読み取り可能な形式にリストアするには、復号化キーが必要です。サイバー犯罪者は身代金要求を発行し、要求が満たされるとデータの復号化や復号化キーの解放を约束します。
ロッカー?ランサムウェアはファイルを暗号化するのではなく、システムやデバイスから被害者を完全にロックします。サイバー犯罪者は、デバイスのロックを解除するために身代金を要求します。一般的に、适切なバックアップが利用できる场合は、仮想通货攻撃から復旧したり、攻撃を回避したりすることができます。しかし、ロッカー?ランサムウェア攻撃は、復旧が难しく、高価です。バックアップされたデータがあっても、デバイスを完全に交换する必要があります。
ランサムウェア攻撃の基本的な目的は、金銭を强要することですが、组织は、特に适切なバックアップとリカバリ?システムが整っている场合、支払いを拒否することができます。このため、攻撃者は二重恐喝を使用し、データを暗号化すると同时に抽出します。会社が支払いを拒否した场合、ハッカーは情报をオンラインで漏えいしたり、最高入札者に贩売したりする恐れがあります。
さらに悪化することもあります。セキュリティの専门家は、二重恐喝ランサムウェアの攻撃が大打撃となるように、の胁威を警告しています。攻撃者は、データを抽出し、最初のターゲットから身代金を要求するだけでなく、影响を受けた第叁者に金銭を要求します。
また、RaaS(ランサムウェア?アズ?ア?サービス)は、標準的な SaaS(ソフトウェア?アズ?ア?サービス)モデルを使用しています。サブスクリプション?ベースのサービスです。事前に開発されたランサムウェア?ツールにアクセスして、ランサムウェア攻撃を仕掛けることができます。加入者はアフィリエイトと呼ばれ、各身代金のパーセンテージを取得します。
身代金に関する注意事项と要求
ランサムウェアがターゲット?ネットワークに无事に展开されると、ランサムウェア攻撃に対する要求が発生します。ハッカーは、攻撃が発生したことを被害者に警告し、攻撃を逆転させるために必要な身代金について详しく説明します。身代金の要求は、コンピュータ画面に表示されるか、暗号化されたファイルを含むディレクトリ内のメモに残されます。
身代金の要求には通常、身代金の金額、必要な支払い方法、支払い期限などの詳細と、身代金が支払われたら暗号化されたファイルへのアクセスを戻すという約束が含まれています。データの流出が発生した場合、ハッカーは、追加データを公開しないこと、データが破壊されたことを示す証拠を示すことに同意する場合もあります。支払いは通常、暗号通貨(Bitcoin や Monero など)で要求されます。
しかし、身代金が支払われたとしても、攻撃者がデータをリストアしたり、约束を守る保証はありません。盗难データのコピーは、后日使用するために保管することができます。復号化キーが完全に机能せず、一部のデータが暗号化されたり、攻撃者が将来使用できる追加の未検出のマルウェアが含まれている场合があります。
交渉:支払いの有无
身代金の支払いの有无の决定は复雑で、いくつかの要因によって异なります。
- 侵害が事业运営に与える影响は、どの程度重要ですか?
- 従業員は失業しますか? その人数と期間は?
- データ漏えいのリスクはどの程度ですか?
支払う场合と支払わない场合の长所と短所について详しくは、ブログ记事「」をご覧ください。
バックアップ/リカバリ?システムがランサムウェアの影响を受けていない场合は、(影响を受けるランサムウェアの种类に応じて)ランサムウェアへの支払いを完全に回避できる场合があります。しかし、身代金の支払いが唯一の选択肢である场合は、交渉を支援し、支払いを容易にするために経験豊富なインシデント対応チームを採用することをお勧めします。
余波:リストアとリカバリ
ランサムウェア攻撃后の平均ダウンタイムは、です。身代金を支払うと、復号化キーを受信して暗号化を破弃するのにさらに数日かかる场合があります。
ランサムウェアの亜种の中には、侵害されたネットワーク上のバックアップを特定して破壊するものがあります。バックアップを破弃または暗号化した场合、リカバリ?プロセスがより复雑になる可能性があります。しかし、バックアップが使用可能な场合でも、バックアップとリカバリ?システムの种类によっては、リカバリのプロセスが长くなる场合があります。
身代金を支払う场合でも、自分でデータをリカバリしようとする场合でも、リカバリ?プロセス全体で数日かかることを计画してください。また、身代金の支払い、インシデント対応コスト、ダウンタイムによる収益损失など、ある程度の経済的损失に备えます。
リカバリ能力が異なる 2 つの仮想組織でリカバリ?プロセスがどのように異なるかを、「で确认してください。
攻撃に対応する準备を整える
ランサムウェア攻撃は、备えを怠ることのできないリスクです。セキュリティを维持するためには万全の対策を讲じていると考えるかもしれませんが、従来のバックアップ?アーキテクチャでは、最新の攻撃から身を守ることはできません。
攻撃に対処する最善の方法 ペタバイトのリカバリ性能を大規模に提供するピュア?ストレージの SafeMode スナップショットや FlashBlade//S with Rapid Restore などのモダンなソリューションのみが、セキュリティ戦略を次のレベルに引き上げることができます。
![稲妻のアイコン](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/life-cycle-ransomware-attacks.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/promo-hacker-guide-ransomware-c.png.imgo.png")
![](/content/dam/purestorage/online-assets/graphics/dsd-simplicity-more-powerful.svg.imgo.svg")
![](/content/dam/purestorage/online-assets/graphics/applications-solutions-launch-unlocking-full-potential.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")